Que sont les pires que des voleurs piratent votre compte bancaire ? Lorsqu’ils volent aussi votre numéro de téléphone.

Les fraudes par détournement de numéros, également appelées SIM-swapping, sont en augmentation. Les victimes nécessitent plus de protection.

Un lundi matin de mai, je me suis réveillé et j’ai attrapé mon téléphone portable pour lire les nouvelles et parcourir des mèmes. Mais il était hors service. Je ne pouvais ni passer d’appels ni envoyer de messages. Cependant, cela s’est avéré être le moindre de mes problèmes. En utilisant ma connexion Wi-Fi à la maison, j’ai vérifié mes e-mails et découvert une notification selon laquelle 20 000 $ étaient transférés de ma carte de crédit vers un compte inconnu de la Discover Bank. J’ai contrecarré ce transfert et signalé les problèmes de téléphone portable, mais mon cauchemar venait de commencer. Quelques jours plus tard, quelqu’un a réussi à transférer 19 000 $ de ma carte de crédit vers le même compte bancaire étrange. J’ai été victime d’un type de fraude appelé détournement de port, également appelé SIM-swapping. Il s’agit d’une forme moins courante d’usurpation d’identité. De nouvelles réglementations fédérales visant à prévenir le détournement de port sont en cours d’examen, mais il n’est pas clair dans quelle mesure elles iront pour arrêter le crime.

Le détournement de port va au-delà du piratage d’un magasin, d’une banque ou d’un compte de carte de crédit. Dans ce cas, les voleurs s’emparent de votre numéro de téléphone. Tous les appels ou textes leur sont destinés, pas à vous. Lorsque l’accès à votre propre téléphone est perdu par un criminel, les mesures que vous avez prises pour protéger vos comptes, telles que l’authentification à deux facteurs, peuvent être utilisées contre vous. Il ne sert à rien d’avoir une banque qui envoie un SMS pour vérifier une transaction lorsque le téléphone recevant le SMS est entre les mains de la personne même qui tente de pirater votre compte. Même si vous êtes une personne relativement compétente en technologie qui suit toutes les recommandations sur la protection de votre technologie et de votre identité, cela peut quand même vous arriver. Les escroqueries de ce type ne feront que s’accroître et devenir plus sophistiquées, et les données montrent qu’elles sont en hausse.

Le FBI Internet Crime Complaint Center rapporte que les plaintes de détournement de SIM ont augmenté de plus de 400 % entre 2018 et 2021, ayant reçu 1 611 plaintes de détournement de SIM avec des pertes personnelles de plus de 68 millions de dollars. Les plaintes à la FCC concernant le crime ont doublé, passant de 275 plaintes en 2020 à 550 rapports en 2023. Rachel Tobac, PDG de SocialProof Security, une société de sécurité en ligne, affirme que le taux de criminalité est probablement beaucoup plus élevé, car la plupart des vols d’identité ne sont pas signalés. Elle affirme également que l’authentification à deux facteurs est une manière obsolète de protéger les consommateurs, puisqu’il est possible de trouver le numéro de téléphone, la date de naissance et le numéro de sécurité sociale de quiconque à travers de nombreuses bases de données publiques ou privées sur le web.

La capacité des voleurs à obtenir vos informations personnelles a été une fois de plus mise en lumière vendredi lorsque AT&T a déclaré que les données de presque tous ses clients avaient été téléchargées sur une plateforme tierce lors d’une violation de sécurité il y a deux ans. Bien qu’AT&T affirme qu’aucune information personnelle n’a été divulguée, les experts en cybersécurité ont averti que les violations impliquant des entreprises de téléphonie laissent les clients vulnérables au détournement de SIM. Pour l’instant, changer de numéro d’un téléphone à un autre est facile et peut se faire en ligne ou par téléphone. Le processus ne prend que quelques heures tant qu’un criminel a vos informations personnelles en main.

Alors que les consommateurs doivent être vigilants concernant un large éventail de mots de passe et protections différents, ils doivent « mettre la pression sur les entreprises dont c’est le travail de protéger nos données », a déclaré Tobac. « Nous avons besoin qu’elles mettent à jour les protocoles de protection des consommateurs, » a-t-elle déclaré, car l’authentification à deux facteurs ne suffit pas. Les règles de la FCC ont récemment changé pour contraindre les entreprises à en faire plus pour protéger les consommateurs contre ce type d’arnaque. En 2023, la FCC a introduit une règle exigeant que les fournisseurs de services sans fil « adoptent des méthodes sécurisées d’authentification d’un client avant de rediriger le numéro de téléphone d’un client vers un nouvel appareil ou fournisseur » parmi d’autres nouvelles règles. Les entreprises pourraient demander plus d’informations lorsqu’un client tente de transférer un numéro de téléphone vers un autre téléphone – en exigeant une identification gouvernementale, une vérification vocale ou des questions de sécurité supplémentaires.

Les règles étaient prévues pour entrer en vigueur le 8 juillet, mais la FCC a accordé aux compagnies de téléphone une dérogation qui retarde la mise en œuvre jusqu’à ce que le Bureau de la gestion de la Maison Blanche procède à un examen supplémentaire. L’industrie de la téléphonie sans fil avait demandé ce retard, affirmant entre autres que les entreprises ont besoin de plus de temps pour se conformer. La CTIA, qui fait pression au nom des entreprises, a déclaré que les nouvelles règles nécessiteront des changements majeurs dans la technologie et les procédures tant au sein des entreprises de téléphonie que dans leurs interactions avec les fabricants de téléphones. Mais si les règles de la FCC avaient été en place, il aurait été plus difficile de voler mon numéro de téléphone, affirment les experts.

La professeure de l’Ohio State University, Amy Schmitz, dit que les nouvelles règles de la FCC facilitent la protection des consommateurs, mais qu’elles dépendent toujours de l’action et de la sensibilisation des consommateurs. « Je me demande toujours si les consommateurs en seront conscients et prendront des mesures pour se protéger, » a-t-elle déclaré. Il m’a fallu dix jours pour récupérer mon numéro chez Cricket Wireless – et ce n’est arrivé qu’après avoir dit aux représentants de l’entreprise que j’écrivais un article sur mon expérience.

Pendant ce temps, l’escroc a réussi à accéder à mon compte bancaire trois fois et a finalement réussi à transférer 19 000 $ de ma carte de crédit – même si j’avais retiré mon numéro du compte bancaire, gelé mon crédit, changé tous mes mots de passe, entre autres mesures. Bank of America a travaillé pour annuler les 19 000 $ après ma visite dans une succursale près du bureau de l’AP à Washington. Cricket s’est excusé pour l’erreur et a déclaré dans un e-mail que son « attente est de fournir une bien meilleure expérience client. » « Les transferts frauduleux sont une forme de vol commise par des criminels sophistiqués, » lit-on dans un communiqué de l’entreprise qui m’a été envoyé par e-mail. « Nous avons mis en place des mesures pour les contrer, et nous travaillons en étroite collaboration avec les forces de l’ordre, notre industrie et les consommateurs pour prévenir ce type de crime. Un représentant d’AT&T m’a déclaré dans un e-mail que « tous les fournisseurs travaillent à mettre en œuvre les nouvelles règles de la FCC sur les transferts sortants et les changements de SIM. »Je ne suis toujours pas sûr de la manière dont cette personne a obtenu l’accès à mes comptes, que ce soit par mon numéro de sécurité sociale, mon numéro de téléphone ou ma date de naissance, ou peut-être un enregistrement de ma voix. Cela a été une leçon difficile sur la vulnérabilité que nous subissons lorsque nous perdons le contrôle de nos informations personnelles qui sont si publiquement accessibles.